Da Cor.Com – Così il Privacy Shield protegge le imprese

Il commento dell’Avv. Valentina Frediani pubblicato sul numero 15 Anno XII (dicembre 2016) di Cor.com.

Lo Scudo USA-UE è ufficialmente operativo in Italia: le imprese che trattano dati di soggetti italiani, potranno trasferirle oltreoceano legittimamente, avendo il via libera dell’Autorità Garante per la protezione dei dati personali. Il provvedimento riconosce al Privacy Shield un adeguato livello di tutela dal punto di vista della privacy. Sciolte – con prudenza – le ultime incertezze, l’Autorità nazionale ha evidenziato la volontà di effettuare controlli e verifiche rispetto a quanto stabilito in sede europea. Un documento dinamico dunque, che vuole dare stabilità all’economia digitale che – secondo dati Accenture – vale un quinto del PIL mondiale.

Cosa significa per le imprese? Una premessa: l’adesione allo Scudo è volontaria e, come l’accordo stesso, sottoposta a verifiche e aggiornamenti periodici. Il Dipartimento del Commercio degli Stati Uniti potrà verificarne la corretta applicazione, comminare sanzioni e depennare l’azienda inadempiente dall’elenco di quelle aderenti. Per sommi capi lo Scudo prevede: obblighi rigorosi per le imprese che operano sui dati, compresi quelli trasferiti a terzi in un secondo momento. Effettiva tutela per ciascun individuo: l’azienda aderente deve farsi carico in prima istanza della risoluzione del reclamo entro 45 giorni. L’interessato potrà inoltre accedere gratuitamente ad un organo ADR (Alternative Dispute Resolution), rivolgersi alle Autorità nazionali e – in ultima istanza – all’arbitrato. Limitazioni e garanzie regolano l’accesso ai dati da parte delle autorità pubbliche (antiterrorismo, sicurezza nazionale…); meccanismi di ricorso accessibili (mediatore indipendente) sono previsti anche in questi casi. Di fatto sono escluse attività di vigilanza e raccolta di massa sui dati trasferiti in regime di Privacy Shield.

Il punto focale è sempre lo stesso: le aziende che hanno aderito o aderiranno allo Scudo devono tener ben presente come la gestione dei dati personali costituisca un tema di compliance da gestire in modo organico, con la massima partecipazione e interazione tra Direzione Legal e ICT.

Molti imprenditori hanno ben compreso come l’accordo costituisca “la punta dell’iceberg” (Chris Babel, CEO, TRUSTe) dei cambiamenti radicali e stringenti insiti nel Regolamento europeo (GDPR). Per molte altre imprese i dubbi restano. Un’indagine Dell del 2016 racconta la scarsa cognizione di cosa comporti l’entrata in vigore della nuova normativa (80% degli intervistati) e l’ampia sottostima dell’impegno che la compliance richiesta comporta (50%). Il rischio che realtà di business spariscano dal mercato per aver sposato la filosofia della cicala è dunque concreto. Aderire allo Scudo è l’ennesima occasione per capire a che punto della timeline della conformità la propria impresa si trovi ed agire di conseguenza.

Per aziende ICT, farmaceutiche o produttive, che quotidianamente fanno circolare in U.S. dati di cui sono titolari, sanzioni e rischi, connessi anche alla brand reputation, sono dietro l’angolo qualora, parallelamente all’adesione allo Scudo, non siano operative le condizioni di legittimità richieste dal legislatore.

Viviamo in un’economia che non accetta e perdona la superficialità di interazione del business con la normativa laddove quest’ultima rappresenta, spesso, un’evoluzione di doveri e diritti che aggiungono valore alla strategia d’impresa. Nel caso del Privacy Shield ad esempio, le tutele previste possono ben essere riflesse sul tema della protezione delle informazioni aziendali. Ed ecco che torna quella visione di insieme che le aziende devono assumere a loro stesso vantaggio.